Klasičtí správci předplatných Azure

Důležité

Od 31. srpna 2024 se role klasického správce Azure (spolu s klasickými prostředky Azure a Azure Service Managerem) vyřadí z provozu a už se nepodporují. Pokud stále máte aktivní přiřazení rolí Spolusprávce nebo správce služeb, okamžitě převeďte tato přiřazení rolí na Azure RBAC.

Microsoft doporučuje spravovat přístup k prostředkům Azure pomocí řízení přístupu na základě role v Azure (Azure RBAC). Pokud stále používáte model nasazení Classic, budete muset migrovat prostředky z klasického nasazení na nasazení Resource Manager. Další informace najdete v tématu Azure Resource Manager vs. nasazení Classic.

Tento článek popisuje vyřazení rolí spolusprávce a správce služeb a způsobu převodu těchto přiřazení rolí.

Nejčastější dotazy

Co se stane s klasickými přiřazeními rolí správce po 31. srpnu 2024?

• Role spolusprávce a správce služeb se vyřadí z provozu a už se nepodporují. Tato přiřazení rolí byste měli okamžitě převést na Azure RBAC.

Návody vědět, jaká předplatná mají klasické správce?

• Pomocí dotazu Azure Resource Graph můžete zobrazit seznam předplatných s přiřazením rolí Správce služeb nebo Spolusprávce. Postup najdete v tématu Seznam klasických správců.

Jaká je ekvivalentní role Azure, kterou mám přiřadit spolusprávci?

• Role vlastníka v oboru předplatného má ekvivalentní přístup. Vlastník je však privilegovaná role správce a uděluje úplný přístup ke správě prostředků Azure. Měli byste zvážit roli funkce úlohy s menším počtem oprávnění, omezit rozsah nebo přidat podmínku.

Jaká je ekvivalentní role Azure, kterou mám přiřadit správci služeb?

• Role vlastníka v oboru předplatného má ekvivalentní přístup.

Proč je potřeba migrovat na Azure RBAC?

• Azure RBAC nabízí jemně odstupňované řízení přístupu, kompatibilitu s Microsoft Entra Privileged Identity Management (PIM) a plnou podporu protokolů auditu. Všechny budoucí investice budou v Azure RBAC.

A co role správce účtu?

• Správce účtu je primárním uživatelem vašeho fakturačního účtu. Správce účtu není zastaralý a toto přiřazení role nemusíte převádět. Správce účtu a správce služeb můžou být stejný uživatel. Přiřazení role Správce služeb ale stačí převést.

Co mám dělat, když ztratím přístup k předplatnému?

• Pokud odeberete klasické správce bez přiřazení aspoň jedné role vlastníka předplatného, ztratíte přístup k předplatnému a předplatné bude osamocené. Pokud chcete znovu získat přístup k předplatnému, můžete udělat toto:

  • Pokud chcete zvýšit úroveň přístupu, můžete spravovat všechna předplatná v tenantovi.
  • Přiřaďte roli Vlastník v oboru předplatného pro uživatele.
  • Odeberte zvýšený přístup.

Co mám dělat, když mám silnou závislost na spolusprávci nebo správci služeb?

• Pošlete e-mail ACARDeprecation@microsoft.com a popište svůj scénář.

Výpis klasických správců

Azure Portal

Následujícím postupem zobrazíte seznam správců služeb a spolusprávce předplatného pomocí webu Azure Portal.

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Výběrem karty Klasické správce zobrazíte seznam spolusprávníků.

   

Azure Resource Graph

Podle těchto kroků vypíšete počet správců služeb a spolusprávců ve vašich předplatných pomocí Azure Resource Graphu.

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Otevřete Azure Resource Graph Explorer.

3. Vyberte Obor a nastavte obor dotazu.

   Nastavte obor na Adresář pro dotazování celého tenanta, ale rozsah můžete zúžit na konkrétní předplatná.

   

4. Vyberte Nastavit obor autorizace a nastavte obor autorizace na Hodnotu At( Nahoře a níže ) a dotazujte se na všechny prostředky v zadaném oboru.

   

5. Spuštěním následujícího dotazu vypíšete počet správců služeb a spolusprávce na základě oboru.

   authorizationresources
   | where type == "microsoft.authorization/classicadministrators"
   | mv-expand role = parse_json(properties).role
   | mv-expand adminState = parse_json(properties).adminState
   | where adminState == "Enabled"
   | where role in ("ServiceAdministrator", "CoAdministrator")
   | summarize count() by subscriptionId, tostring(role)
   

   Následující příklad ukazuje příklad výsledků. Sloupec count_ je počet správců služeb nebo spolusprávce předplatného.

   

Vyřazení spolusprávců

Pokud stále máte klasické správce, pomocí následujících kroků můžete převést přiřazení rolí spolusprávce.

Krok 1: Kontrola aktuálních spolusprávníků

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Pomocí webu Azure Portal nebo Azure Resource Graphu můžete zobrazit seznam spolusprávníků.

3. Zkontrolujte protokoly přihlašování pro spolusprávce a vyhodnoťte, jestli jsou aktivní uživatelé.

Krok 2: Odebrání spolusprávce, kteří už nepotřebují přístup

1. Pokud už uživatel není ve vašem podniku, odeberte spolusprávce.

2. Pokud byl uživatel odstraněn, ale jeho přiřazení spolusprávce nebylo odebráno, odeberte spolusprávce.

   Uživatelé, kteří byli odstraněni, obvykle obsahují text (Uživatel nebyl v tomto adresáři nalezen).

   

3. Po kontrole aktivity uživatele, pokud už uživatel není aktivní, odeberte spolusprávce.

Krok 3: Převod spolusprávce na role funkcí úloh

Většina uživatelů nepotřebuje stejná oprávnění jako spolusprávce. Místo toho zvažte roli funkce úlohy.

1. Pokud uživatel stále potřebuje nějaký přístup, určete odpovídající roli funkce úlohy, kterou potřebuje.

2. Určete potřeby uživatele oboru .

3. Podle kroků přiřaďte uživateli roli funkce úlohy.

4. Odebrat spolusprávce.

Krok 4: Převod role spolusprávce na roli Vlastník s podmínkami

Někteří uživatelé můžou potřebovat více přístupu, než jakou roli funkce úlohy může poskytnout. Pokud musíte přiřadit roli Vlastník , zvažte přidání podmínky nebo použití nástroje Microsoft Entra Privileged Identity Management (PIM) k omezení přiřazení role.

1. Přiřaďte roli Vlastník s podmínkami.

   Například přiřaďte roli Vlastník v oboru předplatného s podmínkami. Pokud máte PIM, udělte uživateli nárok na přiřazení role Vlastník.

2. Odebrat spolusprávce.

Krok 5: Převod role spolusprávce na roli Vlastník

Pokud musí být uživatel správcem předplatného, přiřaďte roli Vlastník v oboru předplatného.

• Postupujte podle pokynů v části Jak převést spolusprávce s rolí Vlastník.

Jak převést roli spolusprávce na roli Vlastník

Nejjednodušší způsob, jak překrýt přiřazení role Spolusprávce k roli Vlastník v oboru předplatného, je použít kroky k nápravě.

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Výběrem karty Klasické správce zobrazíte seznam spolusprávníků.

5. U spolusprávce, který chcete převést na roli Vlastník, vyberte ve sloupci Opravit odkaz role Přiřadit RBAC.

6. V podokně Přidat přiřazení role zkontrolujte přiřazení role.

   

7. Výběrem možnosti Zkontrolovat a přiřadit přiřaďte roli Vlastník a odeberte přiřazení role Spolusprávce.

Odebrání spolusprávce

Chcete-li odebrat spolusprávce, postupujte podle těchto kroků.

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Výběrem karty Klasické správce zobrazíte seznam spolusprávníků.

5. Přidejte značku zaškrtnutí vedle spolusprávce, kterého chcete odebrat.

6. Vyberte Odstranit.

7. V okně se zprávou, které se zobrazí, vyberte Ano.

   

Vyřazení správce služeb z provozu

Pokud stále máte klasické správce, pomocí následujícího postupu můžete převést přiřazení role Správce služeb. Před odebráním správce služeb musíte mít alespoň jednoho uživatele, který má přiřazenou roli Vlastník v oboru předplatného bez podmínek, aby se zabránilo osamocení předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

Krok 1: Kontrola aktuálního správce služeb

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Pomocí webu Azure Portal nebo Azure Resource Graphu vypíšete správce služeb.

3. Zkontrolujte protokoly přihlašování pro správce služeb a vyhodnoťte, jestli se jedná o aktivního uživatele.

Krok 2: Kontrola aktuálních vlastníků fakturačních účtů

Uživatel, který má přiřazenou roli Správce služeb, může být také stejný uživatel, který je správcem vašeho fakturačního účtu. Měli byste zkontrolovat aktuální vlastníky fakturačních účtů a ujistit se, že jsou stále přesné.

1. Vlastníky fakturačního účtu získáte pomocí webu Azure Portal.

2. Projděte si seznam vlastníků fakturačních účtů. V případě potřeby aktualizujte nebo přidejte dalšího vlastníka fakturačního účtu.

Krok 3: Převod role Správce služeb na roli Vlastník

Správce služeb může být účtem Microsoft nebo účtem Microsoft Entra. Účet Microsoft je osobní účet, jako je Outlook, OneDrive, Xbox LIVE nebo Microsoft 365. Účet Microsoft Entra je identita vytvořená prostřednictvím ID Microsoft Entra.

1. Pokud je uživatel správce služeb účtem Microsoft a chcete, aby tento uživatel zachoval stejná oprávnění, převeďte správce služeb na roli Vlastník.

2. Pokud je uživatel správce služeb účtem Microsoft Entra a chcete, aby tento uživatel zachoval stejná oprávnění, převeďte správce služeb na roli Vlastník.

3. Pokud chcete změnit uživatele správce služeb na jiného uživatele, přiřaďte mu roli Vlastník v oboru předplatného bez podmínek. Potom odeberte správce služeb.

Jak převést správce služeb na roli Vlastník

Nejjednodušší způsob, jak převést přiřazení role Správce služeb na roli Vlastník v oboru předplatného, je použít kroky k nápravě.

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Vyberte kartu Klasické správce a zobrazte správce služeb.

5. V případě správce služeb ve sloupci Opravit vyberte odkaz Přiřadit roli RBAC.

6. V podokně Přidat přiřazení role zkontrolujte přiřazení role.

   

7. Výběrem možnosti Zkontrolovat a přiřadit přiřaďte roli Vlastník a odeberte přiřazení role Správce služeb.

Odebrání správce služeb

Důležité

Pokud chcete odebrat správce služeb, musíte mít uživatele, který má přiřazenou roli Vlastník v oboru předplatného bez podmínek, aby se zabránilo osamocení předplatného. Vlastník předplatného má stejný přístup jako správce služeb.

1. Přihlaste se k webu Azure Portal jako vlastník předplatného.

2. Otevřete Předplatná a vyberte předplatné.

3. Vyberte Řízení přístupu (IAM) .

4. Vyberte kartu Klasičtí správci.

5. Vedle správce služeb přidejte značku zaškrtnutí.

6. Vyberte Odstranit.

7. V okně se zprávou, které se zobrazí, vyberte Ano.

   

Další kroky

• Vysvětlení různých rolí
• Přiřazování rolí Azure s využitím webu Azure Portal
• Vysvětlení rolí pro správu smluv se zákazníky Microsoftu v Azure